遇到DDoS攻击时,目前的保护技术避免不了的会出现流量清洗过滤等词,客户都会很疑惑流量清洗,是怎么清洗的,会不会把正常的清洗请求洗掉?从顾客的角度来看这是最重要的,这种想法很正常,因为没有人想失去这个客户。下面分享一下DDoS防御中流量清理的技术方法。
流清理意味着在整个网络流量中区分出正常流量和恶意流量,将恶意流量阻塞并丢弃,而只把正常流量返回给源服务器。渗透测试服务一般建议选用优秀的清洗设备。一些漏报率太高,在大量正常请求过程中会引起中断,有可能影响业务的正常运行,相当于优秀的清洗设备,可以降低漏报率和误报率,在不影响业务正常运行的情况下,可将恶意攻击流量从网络流量中去除。但这样做需要使用精确且高效的清洁技术。例如:
1、攻击特征匹配:在发起DDoS攻击时是需要借助一定的攻击工具,如僵尸网络等。与此同时,网络罪犯为了提高发送请求的效率,攻击工具通常会伪造数据包,并将其固化在工具中。所以每一种攻击工具发出的数据包都存在一定的特征。然后,流清洗技术将利用这些数据包中的特征作为指纹的依据,通过静态或动态指纹技术来识别攻击流。静态指纹识别的原理是将各种攻击工具的指纹特征预先保存在一个数据库中,这样所有的存取数据都会先通过内部数据库比对,如果是符合的话就直接放弃。该动态指纹识别清洗设备对流过的网络数据包进行多个分组学习,然后将攻击特征记录下来,随后按这些特征直接丢弃这些特征。
2、IP信誉检查:IP信誉检查机制是指因特网上的IP地址具有一定的可信度。有些经常被用作僵尸主机、发送垃圾邮件或IP地址,用于DDOS攻击。可信度将会降低。说明这些IP地址可能成为网络攻击的源头。因此当发生DDOS攻击时会对网络流量中的IP信誉进行检查,因此在清理时将优先丢弃信誉低的IP,一般IP信誉检查的极端情况为IP黑名单机制。
3.协议完整性验证:为了提高发送攻击请求的效率,多数情况下只能发送攻击请求,不接收服务器响应的数据。这样,如果对请求源协议采取了交替严格的措施,就可以检测请求源协议的完整性,并在不完全请求源上放弃处理。在DNS解析过程中,攻击者的工具并不接收解析请求的响应数据,因此不能用TCP端口连接。各种流量清洗设备都会以这种方式来区分合法用户和攻击方,拦截恶意的DNS攻击请求。该验证方法同样适用于HTTP协议的Web服务器。首先,使用302重定向HTTP协议对请求进行验证,确认消息源是否接收到响应数据,并完全实现HTTP协议的功能。正常人在收到302重定向后,会沿着跳转地址寻找相应的资源。并且攻击者的攻击工具没有接收到响应数据,就不会进行跳转,直接被清理拦截,WEB服务器也不会受到影响。